À quoi ressembleront les mots de passe dans le futur ? Votre smartphone devient votre seule clé

11 août 2013 De nos jours, les smartphones sont devenus très populaires et de nombreuses personnes les utilisent au travail et dans la vie. De ce fait, il est susceptible de remplacer les mots de passe utilisés pour l’authentification sur diverses plateformes.

La plupart des experts s’accordent à dire que nous avons besoin d’une méthode plus sûre que les mots de passe pour assurer la sécurité des sites Web. Les gens aiment toujours utiliser des mots de passe faciles à deviner par les autres, ce qui réduit considérablement l’efficacité du mot de passe. De plus, la technologie de décryptage avancée peut même rendre les mots de passe de cryptage facilement déchiffrés par les pirates.

Étant donné que presque tout le monde possède un smartphone, celui-ci est considéré comme un endroit idéal pour stocker ses qualifications. En ajoutant des capteurs à un smartphone qui peuvent être utilisés pour identifier l’utilisateur, il serait beaucoup plus sûr d’utiliser l’appareil pour l’authentification de sécurité.

« Je pense que c'est une excellente idée », a déclaré Trent Henry, analyste chez Gartner, en faisant référence à la méthode d'authentification par smartphone. « Nous pensons que ce sera le modèle d’authentification du futur. »

L'émergence d'alternatives

De nombreux fournisseurs de solutions de sécurité qui partagent le point de vue d’Henry s’efforcent de pousser l’industrie dans cette direction. Ces fournisseurs incluent Authy, Clef et Duo Security, entre autres.

Même les grandes entreprises de sécurité se préparent à entrer sur ce marché. Le mois dernier, RSA, la division de sécurité informatique d'EMC, a acquis PassBan. La technologie de PassBan permet aux smartphones d'être utilisés pour la reconnaissance vocale et faciale dans des scénarios d'authentification multifactorielle.

Aujourd’hui, la plupart des fournisseurs de services de sécurité utilisent déjà les téléphones mobiles pour l’authentification à deux facteurs. Si un site Web prend en charge les services de ces fournisseurs, lorsqu'un utilisateur se connecte au site Web, il enverra un numéro d'identification personnel (PIN) unique au téléphone mobile de l'utilisateur. L'utilisateur saisit ce code PIN pour terminer le processus de connexion.

Malheureusement, la plupart des utilisateurs ne sont pas disposés à prendre ces mesures supplémentaires. C’est pourquoi ils recherchent toujours des méthodes plus pratiques et plus fluides.

Authy a fait un pas dans cette direction la semaine dernière en lançant une application qui connecte un iPhone ou un téléphone Android à un ordinateur Apple via Bluetooth. À partir de ce moment, lorsque les utilisateurs visitent Facebook, Dropbox, Google Gmail ou d’autres sites prenant en charge l’application, les informations d’identification stockées sur leur téléphone peuvent être utilisées pour les connecter automatiquement.

Daniel Palacio, fondateur et PDG d'Authy, estime que l'application n'est qu'un début. Le moment venu, cette méthode d’authentification sera utilisée dans les Google Glass, les montres intelligentes ou d’autres ordinateurs portables.

Le travail d’Authy et de ses concurrents montre que l’industrie est à la recherche d’une solution complète, qui n’existe pas encore.

La biométrie pourrait être en plein essor

« Les différentes expériences de sécurité qui ont émergé sur le marché montrent que nous n'avons pas encore trouvé la solution idéale. Nous ne trouverons peut-être jamais de solution adaptée à tous les scénarios », a déclaré Eve Maler, analyste au sein du cabinet d'études de marché Forrester Research. « Tant qu’une telle solution n’apparaîtra pas un jour, les mots de passe ne seront jamais complètement remplacés. »

Pour qu'un smartphone remplace les mots de passe, il doit savoir avec certitude que c'est l'utilisateur qui se connecte au site Web, et non un escroc qui a trouvé ou volé le téléphone. La biométrie est une solution possible, à condition que des scanners d’empreintes digitales fiables et sécurisés, ainsi qu’une technologie de reconnaissance vocale et faciale, puissent être développés.

Une autre solution possible est l’utilisation de capteurs pour téléphones portables capables de reconnaître la posture de marche de l’utilisateur. Cette technologie, appelée reconnaissance de la marche, fait actuellement l’objet de recherches au Georgia Institute of Technology et au Massachusetts Institute of Technology.

Une fois que la biométrie pourra identifier de manière fiable les utilisateurs de téléphones, « nous disposerons d’un système d’authentification très, très sécurisé qui simplifiera grandement la tâche », a déclaré Palacio. « Les gens devront simplement l’acheter et le faire fonctionner. »

Même si un tel système serait probablement beaucoup plus sûr que les mots de passe actuellement utilisés, cela ne signifie pas que les pirates s’arrêteront là. « Les attaquants vont cibler ces nouvelles technologies, nous devons donc être très prudents quant à la manière dont nous abordons ces systèmes de sécurité », a déclaré Henry. « En d’autres termes, il faut encore estimer quel type d’attaques vont se produire. »